Compartilhar via


Conceitos básicos do Microsoft Entra

O Microsoft Entra ID fornece um limite de identidade e acesso para recursos do Azure e aplicativos confiáveis. A maioria dos requisitos de separação de ambiente pode ser cumprida com a administração delegada num único locatário do Microsoft Entra. Essa configuração reduz a sobrecarga do gerenciamento de seus sistemas. No entanto, alguns casos específicos, por exemplo, o isolamento completo de recursos e identidades, exigem vários locatários.

Você deve determinar sua arquitetura de separação de ambiente com base em suas necessidades. As áreas a serem consideradas incluem:

  • Separação de recursos. Se um recurso puder alterar objetos do diretório, como objetos de usuário, e a alteração interferir em outros recursos, o recurso poderá precisar ser isolado em uma arquitetura multilocatário.

  • Separação de configuração. As configurações que abrangem todo o locatário afetam todos os recursos. O efeito de algumas configurações que abrangem todo o locatário pode ser definido com políticas de acesso condicional e outros métodos. Se você precisar de configurações de locatário diferentes que não possam ter escopo com políticas de acesso condicional, talvez seja necessário uma arquitetura multilocatário.

  • Separação administrativa. Você pode delegar a administração de grupos de gerenciamento, assinaturas, grupos de recursos, recursos e algumas políticas em um só locatário. Um Administrador global sempre tem acesso a tudo no locatário. Se precisar se certificar de que o ambiente não compartilhe administradores com um outro ambiente, você precisará de uma arquitetura multilocatário.

Para manter a segurança, você deve seguir as melhores práticas de provisionamento de identidade, gerenciamento de autenticação, governança de identidade, gerenciamento de ciclo de vida e operações de maneira consistente em todos os locatários.

Terminologia

Essa lista de termos é normalmente associada ao Microsoft Entra ID e relevante para este conteúdo:

Locatário do Microsoft Entra. Uma instância dedicada e confiável do Microsoft Entra ID que é criada automaticamente quando sua organização se inscreve em uma assinatura do serviço de nuvem da Microsoft. Essas assinaturas incluem Microsoft Azure, Microsoft Intune ou Microsoft 365. Um locatário do Microsoft Entra geralmente representa uma única organização ou limite de segurança. O locatário do Microsoft Entra inclui os usuários, grupos, dispositivos e aplicativos usados para realizar o gerenciamento de identidades e acesso (IAM) para recursos do locatário.

Ambiente. No contexto deste conteúdo, um ambiente é uma coleção de assinaturas do Azure, recursos do Azure e aplicativos associados a um ou mais locatários do Microsoft Entra. O locatário do Microsoft Entra fornece o painel de controle de identidade para controlar o acesso a esses recursos.

Ambiente de produção. No contexto deste conteúdo, um ambiente de produção é o ambiente dinâmico com a infraestrutura e os serviços com os quais os usuários finais interagem diretamente. Por exemplo, um ambiente corporativo ou voltado para o cliente.

Ambiente de não produção. No contexto desse conteúdo, um ambiente de não produção se refere a um ambiente usado para:

  • Desenvolvimento

  • Testando

  • Finalidades do laboratório

Ambientes de não produção são normalmente chamados de ambientes de área restrita.

Identidade. Uma identidade é um objeto do directory que pode ser autenticado e autorizado para acesso a um recurso. Existem objetos de identidade para identidades humanas e identidades não humanas. Entidades não humanas incluem:

  • Objetos do aplicativo

  • Identidades de carga de trabalho (anteriormente descritas como princípios de serviço)

  • Identidades gerenciadas

  • Dispositivos

As identidades humanas são objetos de usuário que geralmente representam pessoas em uma organização. Essas identidades são criadas e gerenciadas diretamente no Microsoft Entra ID ou são sincronizadas de um Active Directory local para o Microsoft Entra ID de determinada organização. Esses tipos de identidades são conhecidos como identidades locais. Também pode haver objetos de usuário convidados de uma organização parceira ou de um provedor de identidade social usando a colaboração do Microsoft Entra B2B. Neste conteúdo, nos referimos a esses tipos de identidade como identidades externas.

As identidades não humanas incluem qualquer identidade não associada a um humano. Esse tipo de identidade é um objeto como um aplicativo que requer uma identidade para ser executado. Neste conteúdo, nos referimos a esse tipo de identidade como identidade de carga de trabalho. Vários termos são usados para descrever esse tipo de identidade, incluindo objetos de aplicativo e entidades de serviço.

  • Objeto de aplicativo. Um aplicativo do Microsoft Entra é definido por seu objeto de aplicativo. O objeto reside no locatário do Microsoft Entra onde o aplicativo foi registrado. O locatário é conhecido como o locatário "inicial" do aplicativo.

    • Os aplicativos de locatário único são criados para autorizar apenas identidades provenientes do locatário "inicial".

    • Os aplicativos multilocatários permitem a autenticação de identidades de qualquer locatário do Microsoft Entra.

  • Objeto de entidade de serviço. Embora haja exceções, os objetos de aplicativo podem ser considerados a definição de aplicativo. Os objetos da entidade de serviço podem ser considerados uma instância de um aplicativo. De modo geral, as entidades de serviço fazem referência a um objeto de aplicativo e um objeto de aplicativo pode ser mencionado por várias entidades de serviço nos diversos diretórios.

Os objetos de entidade de serviço também são identidades de diretório que podem executar tarefas independentemente da intervenção humana. A entidade de serviço define a política de acesso e as permissões para um usuário ou aplicativo no locatário do Microsoft Entra. Esse mecanismo habilita recursos principais como a autenticação do usuário ou do aplicativo durante a entrada e a autorização durante o acesso aos recursos.

O Microsoft Entra ID permite que objetos de aplicativo e entidade de serviço se autentiquem com uma senha (também conhecida como segredo do aplicativo) ou com um certificado. O uso de senhas para entidades de serviço é desencorajado, e recomendamos usar um certificado sempre que possível.

  • Identidades gerenciadas para recursos do Azure. As identidades gerenciadas são entidades de serviço especiais no Microsoft Entra ID. Esse tipo de entidade de serviço pode ser usado para autenticar serviços que dão suporte a autenticação do Microsoft Entra sem precisar armazenar credenciais no seu código ou lidar com o gerenciamento de segredos. Para obter mais informações, confira O que são as identidades gerenciadas para recursos do Azure?

  • Identidade do dispositivo: uma identidade do dispositivo verifica se o dispositivo no fluxo de autenticação passou por um processo para atestar que é legítimo e atende aos requisitos técnicos. Depois que o dispositivo tiver concluído esse processo, a identidade associada poderá ser usada para controlar ainda mais o acesso aos recursos de uma organização. Com Microsoft Entra ID, os dispositivos podem se autenticar com um certificado.

Alguns cenários herdados exigiam que uma identidade humana fosse usada em cenários não humanos. Por exemplo, quando contas de serviço usadas em aplicativos locais, como scripts ou trabalhos em lote, exigem acesso ao Microsoft Entra ID. Esse padrão não é recomendado e recomendamos que você use certificados. No entanto, se você usar uma identidade humana com senha para autenticação, proteja suas contas do Microsoft Entra com a autenticação multifator do Microsoft Entra.

Identidade híbrida. É uma identidade que abrange ambientes locais e de nuvem. A identidade híbrida oferece o benefício de poder usar a mesma identidade para acessar recursos locais e de nuvem. A fonte de autoridade nesse cenário normalmente é um diretório local, e o ciclo de vida de identidade com base no provisionamento, no desprovisionamento e na atribuição de recursos também é orientado pelo local. Para saber mais, confira a Documentação sobre Identidade híbrida.

Objetos do directory. Um locatário do Microsoft Entra contém os seguintes objetos comuns:

  • Os objetos de usuário representam identidades humanas e não humanas para serviços que no momento não dão suporte a entidades de serviço. Os objetos de usuário contêm atributos que têm as informações necessárias sobre o usuário, incluindo detalhes pessoais, associações de grupo, dispositivos e funções atribuídas ao usuário.

  • Os objetos de dispositivo representam dispositivos associados a um locatário do Microsoft Entra. Os objetos de dispositivo contêm atributos com as informações necessárias sobre o dispositivo. Esses objetos incluem o sistema operacional, o usuário associado, o estado de conformidade e a natureza da associação com o locatário do Microsoft Entra. Essa associação pode tomar várias formas dependendo da natureza da interação e do nível de confiança do dispositivo.

    • Ingressados em domínio híbrido. Dispositivos que pertencem à organização e que ingressaram no Active Directory local e no Microsoft Entra ID. Normalmente, um dispositivo comprado e gerenciado por uma organização e gerenciado por System Center Configuration Manager.

    • Ingresso no Domínio do Microfone Entra. Dispositivos que pertencem à organização e que ingressaram no locatário do Microsoft Entra da organização. Normalmente, um dispositivo adquirido e gerenciado por uma organização que é ingressada ao Microsoft Entra ID e gerenciada por um serviço como o Microsoft Intune.

    • Registrado no Microsoft Entra. Dispositivos que não pertencem à organização, por exemplo, dispositivos pessoais usados para acessar recursos da empresa. As organizações podem exigir que o dispositivo seja registrado por meio do MDM (gerenciamento de dispositivo móvel) ou imposto por meio do MAM (gerenciamento de aplicativo móvel) sem registro para acessar os recursos. Essa funcionalidade pode ser fornecida por um serviço como o Microsoft Intune.

  • Os objetos de grupo contêm objetos para atribuir acesso a recursos, aplicar controles ou configuração. Os objetos de grupo contêm atributos que têm as informações necessárias sobre o grupo, incluindo o nome, a descrição, os membros do grupo, os proprietários do grupo e o tipo de grupo. Os grupos do Microsoft Entra ID assumem várias formas com base nos requisitos de uma organização. Esses requisitos podem ser atendidos usando o Microsoft Entra ID ou sincronizados no AD DS (Serviços de Domínio Active Directory) local.

    • Grupos atribuídos. Em grupos atribuídos, os usuários são adicionados ou removidos do grupo manualmente, sincronizados no AD DS local ou atualizados como parte de um fluxo de trabalho com script automatizado. Um grupo atribuído pode ser sincronizado no AD DS local ou pode ser hospedado no Microsoft Entra ID.

    • Grupos de associação dinâmica. Em grupos de associação dinâmica com base em atributos, os usuários são atribuídos ao grupo automaticamente com base em atributos definidos. Esse cenário permite que as associações de grupo sejam atualizadam de forma dinâmica com base nos dados mantidos nos objetos do usuário. Um grupo de associação dinâmica só pode ser hospedado no Microsoft Entra ID.

MSA (conta Microsoft). Você pode criar assinaturas e locatários do Azure usando MSAs (contas Microsoft). Uma conta Microsoft é uma conta pessoal (e não uma conta organizacional) que normalmente é usada por desenvolvedores e para cenários de avaliação. Quando usada, a conta pessoal sempre se tornará convidada em um locatário do Microsoft Entra.

Áreas funcionais do Microsoft Entra

Estas áreas funcionais são fornecidas pelo Microsoft Entra ID que são relevantes para ambientes isolados. Para saber mais sobre os recursos do Microsoft Entra ID, confira O que é o Microsoft Entra ID?.

Autenticação

Autenticação. O Microsoft Entra ID é compatível com protocolos de autenticação em conformidade com padrões abertos, como OpenID Connect, OAuth e SAML. O Microsoft Entra ID também fornece recursos para permitir que as organizações possam federar provedores de identidade locais existentes, como os Serviços de Federação do Active Directory (AD FS), para autenticar o acesso a aplicativos integrados do Microsoft Entra.

O Microsoft Entra ID fornece opções de autenticação forte líderes do setor que as organizações podem usar para proteger o acesso aos recursos. A autenticação multifator do Microsoft Entra, a autenticação de dispositivos e os recursos sem senha permitem que as organizações implementem opções de autenticação fortes que atendam aos requisitos de sua força de trabalho.

SSO (logon único). Com o logon único, os usuários entram uma vez com uma conta para acessar todos os recursos que confiam no diretório, como dispositivos conectados ao domínio, recursos da empresa, aplicativos SaaS (software como serviço) e todos os aplicativos integrados ao Microsoft Entra. Para obter mais informações, confira logon único para aplicativos no Microsoft Entra ID.

Autorização

Atribuição de acesso a recursos. O Microsoft Entra ID fornece e protege o acesso aos recursos. É possível atribuir acesso a um recurso no Microsoft Entra ID de duas maneiras:

  • Atribuição de usuário: o usuário tem o acesso atribuído diretamente ao recurso e a função ou permissão apropriada é atribuída ao usuário.

  • Atribuição de grupo: um grupo que contém um ou mais usuários é atribuído ao recurso e a função ou permissão apropriada é atribuída ao grupo

Políticas de acesso do aplicativo. O Microsoft Entra ID fornece funcionalidades para controlar e proteger ainda mais o acesso aos aplicativos da sua organização.

Acesso condicional. As políticas de Acesso Condicional do Microsoft Entra são ferramentas para trazer o contexto do usuário e do dispositivo para o fluxo de autorização ao acessar recursos do Microsoft Entra. As organizações devem explorar o uso de políticas de acesso condicional para permitir, negar ou aprimorar a autenticação com base no usuário, risco, dispositivo e contexto de rede. Para saber mais, confira a Documentação sobre Acesso Condicional do Microsoft Entra.

Proteção do Microsoft Entra ID. Essa funcionalidade permite que as organizações automatizem a detecção e a correção de riscos baseados em identidade, investiguem os riscos e exportem os dados da detecção de risco para utilitários de terceiros para uma análise mais avançada. Para obter mais informações, confira Visão geral da Proteção do Microsoft Entra ID.

Administração

Gerenciamento de identidades. O Microsoft Entra ID fornece ferramentas para gerenciar o ciclo de vida de identidades de usuário, grupo e dispositivo. O Microsoft Entra Connect permite que as organizações ampliem sua solução atual de gerenciamento de identidades no local para a nuvem. O Microsoft Entra Connect gerencia o provisionamento, o desprovisionamento e as atualizações dessas identidades no Microsoft Entra ID.

O Microsoft Entra ID também fornece um portal e a API do Microsoft Graph para permitir que as organizações gerenciem identidades ou integrem o gerenciamento de identidades do Microsoft Entra em fluxos de trabalho ou processos de automação existentes. Para saber mais sobre o Microsoft Graph, confira Usar a API do Microsoft Graph.

Gerenciamento de dispositivo. O Microsoft Entra ID é usado para gerenciar o ciclo de vida e a integração com a infraestruturas de gerenciamento de dispositivos locais e de nuvem. Ele também é usado para definir políticas para controlar o acesso de dispositivos locais ou de nuvem aos seus dados organizacionais. O Microsoft Entra ID fornece os serviços de ciclo de vida de dispositivos no diretório e o provisionamento de credenciais para habilitar a autenticação. Ele também gerencia um atributo de chave de um dispositivo no sistema que é o nível de confiança. Esse detalhe é importante ao criar uma política de acesso a recursos. Para saber mais, confira a Documentação sobre Gerenciamento de Dispositivo do Microsoft Entra.

Gerenciamento de configuração. O Microsoft Entra ID tem elementos de serviço que precisam ser configurados e gerenciados para garantir que o serviço esteja configurado para os requisitos de uma organização. Esses elementos incluem, entre outros, o gerenciamento de domínio, a configuração de SSO e o gerenciamento de aplicativos. O Microsoft Entra ID fornece um portal e a API do Microsoft Graph para permitir que as organizações gerenciem esses elementos ou se integrem aos processos existentes. Para saber mais sobre o Microsoft Graph, confira Usar a API do Microsoft Graph.

Governança

Ciclo de vida de identidade. O Microsoft Entra ID fornece funcionalidades para criar, recuperar, excluir e atualizar identidades no diretório, incluindo identidades externas. O Microsoft Entra ID também fornece serviços para automatizar o ciclo de vida de identidade para garantir que ele seja mantido de acordo com as necessidades da sua organização. Por exemplo, usando as revisões de acesso para remover usuários externos que ainda não se conectaram por um período especificado.

Relatórios e análise. Um aspecto importante da governança de identidade é a visibilidade das ações do usuário. O Microsoft Entra ID fornece insights sobre os padrões de segurança e uso do ambiente. Esses insights incluem informações detalhadas sobre:

  • O que seus usuários acessam

  • De onde eles o acessam

  • Os dispositivos que eles usam

  • Os aplicativos usados para acessar

O Microsoft Entra ID também fornece informações sobre as ações que estão sendo executadas no Microsoft Entra ID e relatórios sobre riscos de segurança. Para obter mais informações, confira Relatórios e monitoramento do Microsoft Entra.

Auditoria. A auditoria possibilita a capacidade de controlar por logs todas as alterações feitas por recursos específicos no Microsoft Entra ID. Os exemplos de atividades encontrados em logs de auditoria incluem alterações feitas em recursos no Microsoft Entra ID, como adicionar ou remover usuários, aplicativos, grupos, funções e políticas. O relatório no Microsoft Entra ID permite auditar atividades de entrada, entradas suspeitas e usuários sinalizados como risco. Para obter mais informações, confira Auditar relatórios de atividade no portal do Azure.

Certificação de acesso. A certificação de acesso é o processo para provar que um usuário tem o direito de ter acesso a um recurso em um ponto específico. As revisões de acesso do Microsoft Entra revisam continuamente as associações de grupos ou aplicativos e fornecem insights para determinar se o acesso é necessário ou deve ser removido. Esse certificado permite que as organizações gerenciem de maneira eficaz associações de grupo, acesso a aplicativos empresariais e atribuições de função para garantir que apenas as pessoas adequadas tenham acesso contínuo. Para obter mais informações, confira O que são as revisões de acesso do Microsoft Entra?

Acesso privilegiado. O Microsoft Entra Privileged Identity Management (PIM) oferece ativação de função baseada em tempo e aprovação para atenuar os riscos de permissões de acesso excessivas, desnecessárias ou mal utilizadas para recursos do Azure. Ele é usado para proteger contas privilegiadas reduzindo o tempo de exposição de privilégios e aumentando a visibilidade em relação ao uso por meio de alertas e relatórios.

Gerenciamento de autoatendimento

Registro de credencial. O Microsoft Entra ID fornece funcionalidades para gerenciar todos os aspectos do ciclo de vida da identidade do usuário e das funcionalidades de autoatendimento para reduzir a carga de trabalho da assistência técnica de uma organização.

Gerenciamento de grupos. O Microsoft Entra ID fornece funcionalidades que permitem aos usuários solicitar a associação a um grupo para acesso a recursos. Use o Microsoft Entra ID para criar grupos que podem ser usados para proteger recursos ou colaboração. Portanto, as organizações podem usar os controles apropriados implementados para controlar essas funcionalidades.

IAM (gerenciamento de identidades e acesso) do consumidor

Azure AD B2C. O Azure AD B2C é um serviço que pode ser habilitado em uma assinatura do Azure para fornecer identidades aos consumidores para os aplicativos voltados para o cliente da sua organização. Esse serviço é uma oferta de identidade separada e, por isso, esses usuários geralmente não aparecem no locatário do Microsoft Entra da organização. O Azure AD B2C é gerenciado por administradores no locatário associado à assinatura do Azure.

Próximas etapas